Politika monitorovania, auditu a zlepšovania PIMS

Politika monitorovania, auditu a zlepšovania PIMS definuje požiadavky organizácie na hodnotenie výkonnosti systému manažérstva informácií o súkromí v oblastiach monitorovania, merania, analýzy, hodnotenia, vnútorného auditu, preskúmania manažmentom, riešenia nezhôd, nápravných opatrení a neustáleho zlepšovania. Jej deklarovaným účelom je zabezpečiť, aby organizácia hodnotila výkonnosť PIMS, overovala zhodu PIMS, identifikovala nezhody, odstraňovala nedostatky kontrol a neustále zlepšovala PIMS s použitím objektívnych dôkazov. Politika sa uplatňuje na všetky procesy PIMS, kontroly, politiky, registre, dôkazové objekty, systémy, dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov a mechanizmy zdieľania údajov v rámci rozsahu PIMS. Zahŕňa aj kontexty organizácie ako prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, a preto je relevantná pre správu a riadenie ochrany súkromia aj pre činnosti prevádzkového uisťovania. Charakteristickým prvkom politiky je jej konsolidovaný model dôkazov. REG12 sa používa ako primárne miesto pre program monitorovania, definície metrík, auditný program, výsledky auditov, dôkazy pre preskúmanie manažmentom, nezhody, nápravné opatrenia, výnimky a opatrenia na zlepšenie. Podporné dôkazy pochádzajú z REG01 až REG11 vrátane vstupov o spracovateľských činnostiach z REG02, stavu bezpečnostných kontrol z REG03, aktualizácií rizík ochrany súkromia z REG04, dôkazov uistenia dodávateľov a sprostredkovateľov z REG08, vstupov o trendoch incidentov a porušení ochrany údajov z REG10 a stavu absolvovania školení z REG11. Politika vyžaduje, aby vedúci ochrany súkromia / manažér PIMS pred začiatkom meracieho cyklu definoval metódy merania, frekvenciu, zdroj dôkazov, ciele a zodpovedné roly pre každú metriku PIMS a aby štvrťročne konsolidoval výsledky. Požiadavky na audit a preskúmanie sú štruktúrované podľa plánovania založeného na riziku, zdokumentovaných dôkazov a nezávislosti. Revízor vnútorného auditu / súladu musí pripraviť ročný program interného auditu PIMS založený na riziku v REG12 a pred začatím práce v teréne definovať cieľ, kritériá, rozsah, metódu, základ výberu vzorky a lehotu na podanie správy. Pred každým pridelením auditu sa musia zaznamenať kontroly nezávislosti audítora a konfliktu záujmov. Auditné činnosti zahŕňajú testovanie stavu implementácie uplatniteľných kontrol PIMS voči REG03, zaznamenanie vybraných vzoriek dôkazov o spracúvaní PII a zdokumentovanie výsledkov do 15 pracovných dní po dokončení auditu. Akceptované zistenia musia mať v REG12 pridelených vlastníkov nápravných opatrení do 10 pracovných dní od akceptácie výsledku auditu. Prísne riadené sú aj preskúmanie manažmentom, nápravné opatrenia a zlepšovanie. Vrcholový manažment musí najmenej raz ročne vykonať preskúmanie PIMS manažmentom v REG12, pričom preskúmava predchádzajúce opatrenia, metriky výkonnosti PIMS, stav cieľov ochrany súkromia, nezhody, nápravné opatrenia, výsledky monitorovania, výsledky auditov, riziká ochrany súkromia, uistenie dodávateľov a vstupy týkajúce sa zmien zainteresovaných strán. Nezhody sa musia zaznamenať, musia sa predložiť koreňové príčiny a plány nápravných opatrení, schváliť termíny plnenia a akceptačné kritériá, uchovať dôkazy o dokončení a overiť účinnosť. Neustále zlepšovanie je riadené štvrťročným preskúmaním výsledkov monitorovania, výsledkov auditov, trendov incidentov, stavu rizík ochrany súkromia, stavu uistenia dodávateľov a trendov nápravných opatrení. Ak sa rovnaká kategória zistenia vyskytne dvakrát alebo viackrát v priebehu 12 mesiacov, politika vyžaduje vytvorenie systémového opatrenia na zlepšenie v REG12.